克里斯·维索帕尔(Chris Wysopal)是威瑞科技(Veracode)的创始人兼首席安全布道师。
安全设计的历史沿革
1972年,美国空军委托民间承包商詹姆斯·安德森(James Anderson)撰写了一份计算机安全报告。他明确提出:安全必须从系统设计之初就被纳入考虑。50多年后,"安全优先"设计已从理念升级为各界共识。
2023年,网络安全和基础设施安全局(CISA)启动"安全优先设计"倡议,要求技术提供商在设计阶段就消除漏洞,而非在部署后被动修补。一年内,已有超过300家科技公司承诺从源头保障产品安全。
显著进展
数据显示行业正在积极改善。2020年,仅有不到三分之一的应用程序通过开放网络应用安全项目(OWASP)十大漏洞检测。到2025年,这一比例已超过半数。
漏洞利用预测评分系统(EPSS)的统计也印证了这一进展。高危漏洞比例从2020年的3.6%降至2024年的2.6%,意味着全球范围内易被利用的漏洞显著减少。
现存挑战
尽管取得进展,行业仍面临严峻挑战。2024年的研究显示,70%的应用程序仍存在OWASP十大漏洞相关问题。许多高危漏洞超过一年未修复,成为企业环境中的安全隐患。
软件供应链的复杂性进一步加剧了这一问题。现代应用程序依赖众多组件,每个组件都可能引入新的安全隐患。第三方和开源代码中的传递性依赖往往难以及时修复,即使具备完善内部编码规范的企业也可能受到影响。
未来展望
"安全优先"设计正朝着正确方向发展,但任重道远。这一理念必须从口号转变为切实可行的运营原则,融入日常开发流程。只有将安全要求纳入每次设计评审和里程碑考核,才能实现真正的转变。
实现"安全优先"设计需要更优质的教育培训、持续的努力、深层的文化变革以及全行业的通力协作。目前的进展证明这一目标可以实现,关键在于能否加快步伐,始终领先于潜在的安全威胁。